クラウドでPCI DSS環境を構築・運用するポイント

4,171 views
3,879 views

Published on

2014.2.7 『カード・ウェーブ』オープンセミナー における cloudpack のPCI DSS準拠サービス内容・事例の紹介

Published in: Technology
0 Comments
7 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,171
On SlideShare
0
From Embeds
0
Number of Embeds
1,232
Actions
Shares
0
Downloads
0
Comments
0
Likes
7
Embeds 0
No embeds

No notes for slide

クラウドでPCI DSS環境を構築・運用するポイント

  1. 1. 『カード・ウェーブ』オープンセミナー クレジットカードの情報セキュリティと『PCI DSS Ver3.0』のポイント クラウドでPCI DSS環境を 構築・運用するポイント 2014.2.7 吉田真吾
  2. 2. 自己紹介 吉田 真吾(よしだ しんご) エバンジェリスト、ソリューションアーキテクト AWSサムライ2014(Japan AWS UserGroup) AWS Certified Solutions Architect ‒ Associate Level AWS Certified SysOps Administrator - Associate バックグラウンド 通信キャリア:基地局制御、GISサービス 開発 SIer:証券システム基盤 開発 • DBA、スペシャリストとしてDBチューニングや新規システム構築を推進
  3. 3. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927
  4. 4. http://www.slideshare.net/horiyasu/programming-aws-with-perl-at
  5. 5. FinQloud by NASDAQ OMX 金融サービスに特化した「コミュニティ・クラウド」 Amazon VPC + AWS Direct Connect でインター ネットを介さない独立したネットワーク内に存在 ブローカーディーラーのシステムから、NASDAQ OMXのDCを経由(暗号GW)してAWS内の環境に接 続される 2つのサービス:R3=ストレージサービス、SSR= データマイニングサービス
  6. 6. http://www.atmarkit.co.jp/ait/articles/1301/24/news087.html Sunday, March 3, 13
  7. 7. 出典: IDC Japan http://www.idcjapan.co.jp/Press/Current/20121105Apr.html
  8. 8. ECサイトにおける 弊社導入事例
  9. 9. → 東日本大震災を機に自社運用からAWSへ ECシステム全体の移行(EC2約50台+ RDS5台) 移行前サーバー構成調査 ミドルウェア構築 関連開発会社への情報共有 AWSシステムの構築・運用・監視
  10. 10. 初   インフラ構築 SAP環境構築 NTTデータグロー バルソリューショ ンズ AWS環境構築 cloudpack 移行時のみインス タンスタイプ変更 AWS導入事例紹介ページより引用
 http://aws.amazon.com/jp/solutions/case-studies/ kenkocom/
  11. 11. 初   インフラ構築 SAP環境構築 NTTデータグロー バルソリューショ ンズ TCOが65%削減できた    AWS環境構築 cloudpack 移行時のみインス タンスタイプ変更 AWS導入事例紹介ページより引用
 http://aws.amazon.com/jp/solutions/case-studies/ kenkocom/
  12. 12. 金融機関向け『Amazon Web Services』 対応 セキュリティリファレンス 2012/9 iSiD、NRI、SCSK 3社で共同発表 金融機関等コンピュータシステムの安全対策基準 (FISC安全対策基準)第8版に対応 金融情報システムセンター(FISC)の作成した金融機関等 の自主基準 ※第8版追補版はクラウドコンピューティングについて言及
  13. 13. さまざまなシステムが クラウド化されていく ↓ クラウドで PCI DSS の 構築・運用は可能か? データセンターとの違いは?
  14. 14. AWS を使って PCI DSS の 運用をするメリット • • インフラ費用の適正化 必要なリソースを必要なだけ 運用費用の適正化 DCの物理セキュリティはAWSが 担保するため、OS設定、ネット ワーク設定、IDS/IPSなどのレイ ヤーを対応すればよい
  15. 15. AWSはPCI DSSレベル1準拠 レベル1サービスプロバイダとして認定 EC2/S3/EBS/VPC/RDS/ELB/IAM がPCI検証済み
  16. 16. 共有責任モデル ・OS ・アプリケーション ・セキュリティグループ ・OSファイアウォール ・ネットワーク設定 ・アカウント管理 ・ファシリティ ・物理インフラ ・ネットワークインフラ ・物理セキュリティ ・仮想インフラ
  17. 17. http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378
  18. 18. http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378
  19. 19. クラウドネイティブサービス http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927
  20. 20. クラウドネイティブサービス さまざまなマネージドサービス 仮想サーバを使って手組みしなくてよい 運用が【標準化】しやすい・【運用品質】の担保 できる限り使ったほうがよい RDS vs RDBMS on EC2 EMR vs Hadoop on EC2 Redshift vs ParAccel on EC2 Kinesis vs Storm on EC2
  21. 21. PCI DSS準拠における 弊社導入事例
  22. 22. http://coiney.com/
  23. 23. Coiney社の資料より抜粋 System Challenge PCI-DSS compliant on the cloud? Mostly, PCI-DSS on own server. Differences between cloud vs. own server. AWS Management Console logging? クラウド上でPCI DSSを取ることができるのか? DMZ, WAF implementation? 必要な対策を講じることができるのか? NTP server? Antivirus software? System auto-lockout? Log, Log, and LOG! i.e. Firewall log? File consistency? File monitoring?
  24. 24. プロジェクト体制 •PCI  DSS準拠⽀支援   •QSA •PCI  DSSレベル1
 サービスプロバイダ •インフラ構築   •PCI  DSS準拠対策
  25. 25. Coiney社の資料より抜粋 cloudpack(に期待したこと) Leverage cloudpack knowledge Discussion with PCI consultants AWS上でのシステム構築ノウハウ提供 Establish the PCI-compliant environment PCI DSS準拠支援会社とコラボ on AWS
  26. 26. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  27. 27. システム概念図
  28. 28. 対応サマリ Firewall設定 セキュリティソフトウェア導入 アカウント管理 アクセス記録・ログ集約管理 脆弱性対策
  29. 29. Firewall 一旦すべてアクセス不可 必要な箇所を許可 サーバー毎の通信許可 個別のセキュリティグループ
 (サブネットは通信要件毎に分けている)
  30. 30. セキュリティソフトウェア導入 Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視 ServerProtect ウィルス対策(リアルタイムスキャン)
  31. 31. http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/
  32. 32. !   •  •  セキュリティ+
  33. 33. アカウント管理 サーバー毎ではなく個人毎のアカウント OpenLDAP導入・権限管理 パスワード有効期限 90日 ロックアウト対応 6回以上パスワードトライされたらロック
  34. 34. アクセス記録・ログ集約管理 ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考] FluentdでWeb Storage Archiveパターン http://blog.cloudpack.jp/2013/01/aws-news-cdp-webstorage-archive-fluentd.html
  35. 35. アクセス記録・ログ集約管理 ログ管理 サーバーだけでなく、ロードバランサやDBのログも取 得する必要がある
  36. 36. アクセス記録・ログ集約管理 Management Consoleアクセス制限とログ記録 多要素認証に加えて誰が何をしたか記録が必須 プロキシ経由のみアクセス可 プロキシサーバー上でアクセスログ記録 [参考] Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得 http://blog.cloudpack.jp/2013/02/aws-news-squid-aws-console-ip-log.html
  37. 37. 脆弱性対策 ミドルウェア最新化 Apacheはパッケージでは不可だったため、最新版ソースをコ ンパイル • IPA(独立行政法人 情報処理推進機構)の定めるCVSS 4.0以上(レベルIII危険+レベルII警告) はすべて対策必須のため Deep Security仮想パッチ ソフトウェアのセキュリティパッチ提供前に脆弱性を保護 パッチ適用後は自動的に外れる
  38. 38. AWS導入事例ページ 日経コンピュータ
  39. 39. ワンストップでサービス提供 エンドユーザー PCI DSS準拠 インフラ構築サービス インフラ構築 PCI DSSレベル1
 PCI DSS準拠対策 サービスプロバイダ PCI DSS準拠支援 QSA
  40. 40. どう運用するか
  41. 41. AWS運用をアウトソースしたい企業向けの
 月額費用固定型フルマネージドホスティング 24時間365日サーバー運用・保守 •電話/メールによるサポート 初期費用なし(基本移行作業含む)
 月額5万円からのスタート 日本円で請求書発行
  42. 42. PCI DSS、ISMS、Pマーク 取得済みの運用体制
  43. 43. cloudpackの ! •    •      •     
  44. 44. フルマネージド サービス/リソース監視 ディスク使用量、メモリ使用量、プロセス数、Webサーバー・DB サーバー死活... バックアップ/リストア EBSスナップショットを利用した二世代(過去二日分)バックアッ プ アクセス制御(ファイアーウォール) 適切なセキュリティグループを設定、OS・ミドルウェアレベルで さらに細かな設定も対応可能
  45. 45. 定額課金・請求書払い Amazon Web Servicesでは... 従量課金では予算計画が立てられない クレジットカードでUSドル決済では利用料の予測が難しい 月額固定+日本円請求書発行
  46. 46. バースト保障 キャンペーンなど急激なアクセス増加へ合わせてインフラ準備するのは不可能 いつあるかわからないピークのために予め準備できない 追加料金無しでスケールアウト (7インスタンス日まで)
  47. 47. !   •       
  48. 48. ョ ン ∼合わせて使いたい∼ オ プ シ 専用接続プラン L2 Switch Virtual Private Cloud 専用線接続 L2 Switch Router Direct Connect AWS Cloud ONU cloudpack ラック MMR Equinix Data center ※1 サービス提供範囲 ※1:アカウント管理者(御社or弊社) 1の場合弊社提供 2,3の場合お客様対応範囲 AWS Direct Connect を運用保守つきで 1. フレッツVPNワイド(共有・冗長):8万円/月∼ 2. 専用線(共有・冗長):15万5千円/月∼ 3. 専用線(専有・冗長):37万円/月∼ お客様拠点
  49. 49. http://www.cloudpack.jp/ suuport@cloudpack.jp @cloudpack_jp

×